Aracılığıyla paylaş

Defender portalını kullanarak bir olaya yanıt verme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, Önceliklendirme, araştırma ve çözümü kapsayan Defender portalında Microsoft Sentinel kullanarak bir olaya nasıl yanıt verileceği açıklanır.

Önkoşullar

Defender portalında olayları araştırma:

  • Microsoft Sentinel için kullanılan Log Analytics çalışma alanınız Defender portalına eklenmelidir. Daha fazla bilgi için bkz. Microsoft Sentinel'iMicrosoft Defender portalına bağlama.

Olay yanıtı işlemi

Defender portalında çalışırken ilk önceliklendirme, çözüm ve izleme adımlarınızı aksi takdirde yaptığınız gibi yapın. Araştırma yaparken şunları yaptığınızdan emin olun:

  • Varlık zaman çizelgelerini gözden geçirerek olayı ve kapsamını anlayın.
  • Kendi kendine düzeltme bekleyen eylemleri gözden geçirin, varlıkları el ile düzeltin ve canlı yanıt gerçekleştirin.
  • Önleme önlemleri ekleyin.

Defender portalının eklenen Microsoft Sentinel alanı, aşağıdakiler dahil olmak üzere araştırmanızı derinleştirmenize yardımcı olur:

  • Güvenlik süreçlerinizle, ilkelerinizle ve yordamlarınızla (3P) ilişkilendirerek olayın kapsamını anlama.
  • 3P otomatik araştırma ve düzeltme eylemleri gerçekleştirme ve özel güvenlik düzenleme, otomasyon ve yanıt (SOAR) playbook'ları oluşturma.
  • Olay yönetimi için kanıt kaydetme.
  • Özel ölçüler ekleme.

Daha fazla bilgi için bkz:

Microsoft Sentinel ile otomasyon

Microsoft Sentinel'in playbook ve otomasyon kuralı işlevlerinden yararlandığınızdan emin olun.

  • Playbook, Microsoft Sentinel portalından rutin olarak çalıştırabileceğiniz bir araştırma ve düzeltme eylemleri koleksiyonudur. Playbook'lar tehdit yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olabilir. Bunlar olaylar, varlıklar ve uyarılar üzerinde isteğe bağlı olarak el ile çalıştırılabilir veya otomasyon kuralı tarafından tetiklendiğinde belirli uyarılara veya olaylara yanıt olarak otomatik olarak çalışacak şekilde ayarlanabilir. Daha fazla bilgi için bkz. Playbook'larla tehdit yanıtlarını otomatikleştirme.

  • Automation kuralları, farklı senaryolarda uygulanabilecek küçük bir kural kümesi tanımlamanızı ve koordine edebilmenizi sağlayarak Microsoft Sentinel'de otomasyonu merkezi olarak yönetmenin bir yoludur. Daha fazla bilgi için bkz. Microsoft Sentinel'de tehdit yanıtlarını otomasyon kurallarıyla otomatikleştirme.

Microsoft Sentinel çalışma alanınızı birleşik güvenlik operasyonları platformuna eklendikten sonra, çalışma alanınızda otomasyon işlevlerinin nasıl çalıştığının farklı olduğunu unutmayın. Daha fazla bilgi için birleşik güvenlik işlemleri platformu 'i kullanarakAutomation'a bakın.

Olay sonrası yanıt

Olayı çözümledikten sonra, daha fazla eylem belirlemek üzere olası izleme için olayı olay yanıt liderinize bildirin. Mesela:

  • Saldırıyı erken algılamaları için Katman 1 güvenlik analistlerinizi bilgilendirin.
  • Bir güvenlik saldırısı eğilimi için Microsoft Defender XDR Tehdit Analizi'nde ve güvenlik topluluğunda saldırıyı araştırın. Daha fazla bilgi için bkz. Microsoft Defender XDR Tehdit analizi.
  • Gerektiğinde, olayı çözmek için kullandığınız iş akışını kaydedin ve standart iş akışlarınızı, süreçlerinizi, ilkelerinizi ve playbook'larınızı güncelleştirin.
  • Güvenlik yapılandırmanızdaki değişikliklerin gerekli olup olmadığını belirleyin ve bunları uygulayın.
  • Gelecekte benzer bir risk için tehdit yanıtınızı otomatikleştirmek ve orkestrasyon yapmak üzere bir orkestrasyon kılavuzu oluşturun. Daha fazla bilgi için bkz. Microsoft Sentinel'da "çalışma kitapları" ile tehdit yanıtlarını otomatikleştirme.

İlgili içerik

Daha fazla bilgi için bkz: